Solucionar problemas de falhas de verificação de atualização de software no Configuration Manager

Este artigo descreve como solucionar problemas de falhas de verificação de atualização de software no Configuration Manager.

Versão original do produto: Microsoft System Center 2012 Configuration Manager, Microsoft System Center 2012 R2 Configuration Manager
Número original do KB: 3090184

Resumo

Há vários motivos pelos quais uma verificação de atualização de software pode falhar. A maioria dos problemas envolve problemas de comunicação ou firewall entre o cliente e o computador do ponto de atualização de software. Descrevemos algumas das condições de erro mais comuns e suas resoluções associadas e dicas de solução de problemas aqui. Para obter mais informações sobre erros comuns do Windows Update, consulte Erros comuns e mitigação do Windows Update.

Para obter mais informações sobre atualizações de software no Configuration Manager, consulte Introdução às atualizações de software.

Ao solucionar problemas de falhas de verificação de atualização de software, concentre-se nos arquivos WUAHandler.log e WindowsUpdate.log. WUAHandler apenas relata o que o Windows Update Agent relatou. Portanto, o erro no arquivo WUAHandler.log seria o mesmo erro relatado pelo próprio Windows Update Agent. A maioria das informações sobre o erro provavelmente será encontrada no arquivo WindowsUpdate.log. Para obter mais informações sobre como ler o arquivo WindowsUpdate.log, consulte Arquivos de log do Windows Update.

Falhas de verificação devido a componentes ausentes ou corrompidos

Os erros 0x80245003, 0x80070514, 0x8DDD0018, 0x80246008, 0x80200013, 0x80004015, 0x800A0046, 0x800A01AD, 0x80070424, 0x800B0100 e 0x80248011 são causados por componentes ausentes ou corrompidos.

Vários problemas podem ser causados por arquivos ausentes ou corrompidos ou chaves de registro, registros de componentes e assim por diante. Um bom lugar para começar é executar o Solucionador de problemas do Windows Update para detectar e corrigir esses problemas automaticamente.

Também é uma boa ideia certificar-se de que você está executando a versão mais recente do Windows Update Agent.

Se a execução da Solução de Problemas do Windows Update não resolver o problema, redefina o armazenamento de dados do Windows Update Agent no cliente seguindo estas etapas:

1. Pare o serviço Windows Update executando o seguinte comando:

   net stop wuauserv
   

2. Renomeie a C:\Windows\SoftwareDistribution pasta para C:\Windows\SoftwareDistribution.old.

3. Inicie o serviço Windows Update executando o seguinte comando:

   net start wuauserv
   

4. Inicie um ciclo de verificação de atualização de software.

Falhas de verificação devido a problemas relacionados ao proxy

Os erros 0x80244021, 0x8024401B, 0x80240030 e 0x8024402C são causados por problemas relacionados ao proxy.

Verifique as configurações de proxy no cliente e certifique-se de que elas estejam configuradas corretamente. O Windows Update Agent usa o WinHTTP para verificar se há atualizações disponíveis. Quando há um servidor proxy entre o cliente e o computador WSUS, as configurações de proxy devem ser definidas corretamente nos clientes para permitir que eles se comuniquem com o WSUS usando o FQDN do computador.

Para problemas de proxy, WindowsUpdate.log pode relatar erros semelhantes aos seguintes:

0x80244021 ou HTTP Error 502 - Gateway incorreto

0x8024401B ou erro HTTP 407 - Autenticação de proxy necessária

0x80240030 - O formato da lista de proxy era inválido

0x8024402C - O nome do servidor proxy ou do servidor de destino não pode ser resolvido

Na maioria dos casos, você pode ignorar o proxy para endereços locais porque o computador WSUS está localizado na intranet. Mas se o cliente estiver conectado à Internet, você deverá certificar-se de que o servidor proxy esteja configurado para habilitar essa comunicação.

Para exibir as configurações de proxy WinHTTP, execute um dos seguintes comandos:

• No Windows XP: proxycfg.exe
• No Windows Vista e versões posteriores: netsh winhttp show proxy

As configurações de proxy definidas no Internet Explorer fazem parte das configurações de proxy do WinINET. As configurações de proxy WinHTTP não são necessariamente as mesmas que as configurações de proxy definidas no Internet Explorer. No entanto, se as configurações de proxy estiverem definidas corretamente no Internet Explorer, você poderá importar a configuração de proxy do Internet Explorer. Para importar a configuração de proxy do Internet Explorer, execute um dos seguintes comandos:

• No Windows XP: proxycfg.exe -u
• No Windows Vista e versões posteriores: netsh winhttp import proxy source =ie

Para obter mais informações, consulte Como o cliente Windows Update determina qual servidor proxy usar para se conectar ao site do Windows Update.

Falhas de verificação relacionadas ao tempo limite ou autenticação HTTP

Erros: 0x80072ee2, 0x8024401C, 0x80244023 ou 0x80244017 (Status HTTP 401), 0x80244018 (Status HTTP 403)

Verifique a conectividade com o computador WSUS. Durante uma verificação, o Windows Update Agent deve se comunicar com os ClientWebService diretórios virtuais e SimpleAuthWebService no computador WSUS para executar uma verificação. Se o cliente não puder se comunicar com o computador WSUS, a verificação falhará. Esse problema pode ocorrer por vários motivos, incluindo:

• Configuração de porta
• Configuração de proxy
• Problemas de firewall
• conectividade de rede

Primeiro, localize a URL do computador WSUS verificando a seguinte chave do Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

Tente acessar a URL para verificar a conectividade entre o cliente e o computador WSUS. Por exemplo, o URL que você usa deve ser semelhante ao seguinte URL:
http://SUPSERVER.CONTOSO.COM:8530/Selfupdate/wuident.cab

Em seguida, verifique se o cliente pode acessar o ClientWebService diretório virtual. A URL deve ser semelhante à seguinte URL:
http://SUPSERVER.CONTOSO.COM:8530/ClientWebService/wusserverversion.xml

Por fim, verifique se o cliente pode acessar o SimpleAuthWebService diretório virtual. A URL deve ser semelhante à seguinte URL: http://SUPSERVER.CONTOSO.COM:8530/SimpleAuthWebService/SimpleAuth.asmx

Se esses testes forem bem-sucedidos, examine os logs do IIS (Serviços de Informações da Internet) no computador do WSUS para confirmar se os erros HTTP estão sendo retornados do WSUS. Se o computador WSUS não retornar o erro, o problema provavelmente está em um firewall ou proxy intermediário.

Se algum desses testes falhar, verifique se há problemas de resolução de nomes no cliente. Verifique se você pode resolver o FQDN do computador WSUS.

Verifique também as configurações de proxy no cliente para garantir que elas estejam configuradas corretamente. Para obter mais informações, consulte a seção Falhas de verificação devido a problemas relacionados ao proxy.

Por fim, verifique se as portas do WSUS podem ser acessadas. O WSUS pode ser configurado para usar qualquer uma das seguintes portas:

• 80
• 443
• 8530
• 8531

Para que os clientes se comuniquem com o computador WSUS, as portas apropriadas devem ser habilitadas em qualquer firewall entre o cliente e o computador WSUS.

Determinar as configurações de porta usadas pelo WSUS e o ponto de atualização de software

As configurações de porta são definidas quando a função do sistema de sites do ponto de atualização de software é criada. Essas configurações de porta devem ser as mesmas que as configurações de porta usadas pelo site do WSUS. Caso contrário, o Gerenciador de Sincronização do WSUS não se conectará ao computador WSUS em execução no ponto de atualização de software para solicitar a sincronização. Os procedimentos a seguir mostram como verificar as configurações de porta usadas pelo WSUS e pelo ponto de atualização de software.

Determinar as configurações de porta do WSUS no IIS 6.0

1. No servidor WSUS, abra o Gerenciador do IIS (Serviços de Informações da Internet).
2. Expanda Sites, clique com o botão direito do mouse no site do servidor WSUS e selecione Propriedades.
3. Selecione a guia Site .
4. A configuração da porta HTTP é exibida na porta TCP e a configuração da porta HTTPS é exibida na porta SSL.

Determinar as configurações de porta do WSUS no IIS 7.0 e versões posteriores

1. No servidor WSUS, abra o Gerenciador do IIS (Serviços de Informações da Internet).
2. Expanda Sites, clique com o botão direito do mouse no site do servidor WSUS e selecione Editar Associações.
3. Na caixa de diálogo Associações de Site, os valores de porta HTTP e HTTPS são exibidos na coluna Porta.

Verificar e configurar portas para o ponto de atualização de software

1. No console do Configuration Manager, vá para Servidores de Configuração>do Site de Administração>e Funções do Sistema de Sites e selecione <SiteSystemName> no painel direito.
2. No painel inferior, clique com o botão direito do mouse em Ponto de Atualização de Software e clique em Propriedades.
3. Na guia Geral , especifique ou verifique os números de porta de configuração do WSUS.

Depois que as portas forem verificadas e configuradas corretamente, você deverá verificar a conectividade da porta do cliente executando o seguinte comando:

telnet SUPSERVER.CONTOSO.COM <PortNumber>

Se a porta estiver inacessível, o telnet retornará um erro semelhante ao seguinte.

Não foi possível abrir a conexão com o host, na porta <PortNumber>

Esse erro sugere que as regras de firewall devem ser configuradas para habilitar a comunicação para as portas do WSUS Server.

A verificação falha com o erro 0x80072f0c

O erro 0x80072f0c se traduz em Um certificado é necessário para concluir a autenticação do cliente. Esse erro deve ocorrer somente se o computador WSUS estiver configurado para usar SSL. Como parte da configuração SSL, os diretórios virtuais do WSUS devem ser configurados para usar SSL e devem ser definidos para ignorar certificados de cliente. Se o site do WSUS ou qualquer um dos diretórios virtuais mencionados anteriormente estiver configurado incorretamente para Aceitar ou Exigir certificados de cliente, você receberá esse erro.

Verifique a configuração SSL

Quando o site é configurado no modo somente HTTPS, o ponto de atualização de software é configurado automaticamente para usar SSL. Quando o site está no modo HTTPS ou HTTP , você pode escolher se deseja configurar o ponto de atualização de software para usar SSL. Quando o ponto de atualização de software é configurado para usar SSL, o computador WSUS também deve ser configurado explicitamente para usar SSL. Antes de configurar o SSL, você deve revisar os requisitos de certificado. E certifique-se de que um certificado de autenticação de servidor esteja instalado no servidor de ponto de atualização de software.

Verifique se o ponto de atualização de software está configurado para SSL

1. No console do Configuration Manager, vá para Servidores de Configuração>do Site de Administração>e Funções do Sistema de Sites e selecione< SiteSystemName> no painel direito.
2. No painel inferior, clique com o botão direito do mouse em Ponto de Atualização de Software e selecione Propriedades.
3. Na guia Geral , verifique se a seguinte opção está habilitada:
   Exigir comunicação SSL com o Servidor WSUS

Verifique se o computador WSUS está configurado para SSL

1. Abra o console do WSUS no ponto de atualização de software do site.
2. No painel da árvore de console, selecione Opções.
3. No painel de exibição, selecione Atualizar Origem e Servidor Proxy.
4. Verifique se a opção Usar SSL ao sincronizar informações de atualização está selecionada.

Adicionar o certificado de autenticação do servidor ao site de administração do WSUS

1. No computador WSUS, inicie o Gerenciador de Serviços de Informações da Internet (IIS).
2. Expanda Sites, clique com o botão direito do mouse em Site Padrão ou no site de Administração do WSUS se o WSUS estiver configurado para usar um site personalizado e selecione Editar Associações.
3. Selecione a entrada HTTPS e, em seguida, selecione Editar.
4. Na caixa de diálogo Editar Associação de Site, selecione o certificado de autenticação do servidor e, em seguida, selecione OK.
5. Na caixa de diálogo Editar Associação de Site , selecione OK e, em seguida, selecione Fechar.
6. Saia do Gerenciador do IIS.

Importante

Verifique se o FQDN especificado nas propriedades do Sistema de Sites corresponde ao FQDN especificado no certificado. Se o ponto de atualização de software aceitar conexões somente da intranet, o Nome da Entidade ou o Nome Alternativo da Entidade deverá conter o FQDN da intranet. Quando o ponto de atualização de software aceita conexões de cliente somente da Internet, o certificado ainda deve conter o FQDN da Internet e o FQDN da intranet, pois o WCM e o WSyncMgr ainda usam o FQDN da intranet para se conectar ao ponto de atualização de software. Se o ponto de atualização de software aceitar conexões da Internet e da intranet, o FQDN da Internet e o FQDN da intranet deverão ser especificados usando o delimitador de símbolo e comercial (&) entre os dois nomes.

Verifique se o SSL está configurado no computador WSUS

Para obter mais informações, consulte Configurar SSL no servidor WSUS.

Importante

Você não pode configurar todo o site do WSUS para exigir SSL, pois todo o tráfego para o site do WSUS teria que ser criptografado. O WSUS criptografa apenas os metadados de atualização. Se um computador tentar recuperar arquivos de atualização na porta HTTPS, a transferência falhará.

A Política de Grupo substitui as informações corretas de configuração do WSUS

O recurso Atualizações de Software configura automaticamente uma configuração de Política de Grupo local para o cliente do Configuration Manager, para que ele seja configurado para usar o local de origem do ponto de atualização de software e o número da porta. O nome do servidor e o número da porta são necessários para que o cliente encontre o ponto de atualização de software.

Se uma configuração de Diretiva de Grupo do Active Directory for aplicada a computadores para instalação do cliente do ponto de atualização de software, ela substituirá a configuração de Diretiva de Grupo local. A menos que o valor da configuração definida na Política de Grupo seja idêntico ao que está sendo definido pelo Configuration Manager (nome do servidor e porta), a verificação de atualização de software do Configuration Manager falhará no cliente. Nesse caso, o arquivo WUAHandler.log mostra a seguinte entrada:

Group policy settings were overwritten by a higher authority (Domain Controller) to: Server http://server and Policy ENABLED

Para corrigir esse problema, o ponto de atualização de software para instalação do cliente e atualizações de software deve ser o mesmo servidor. E deve ser especificado na configuração da Política de Grupo do Active Directory usando o formato de nome e as informações de porta corretos. Por exemplo, se o ponto de atualização de software estivesse usando o site padrão, o ponto de atualização de software seria http://server1.contoso.com:80.

Os clientes não conseguem encontrar o local do servidor WSUS

1. Para entender como os clientes obtêm o local do servidor WSUS, consulte Localização do servidor WSUS. E revise os logs de ponto de cliente e gerenciamento.
2. Habilite o log detalhado e de depuração no cliente e no ponto de gerenciamento.
3. Verifique se não há erros de comunicação em CcmMessaging.log no cliente.
4. Se o ponto de gerenciamento retornar uma resposta de localização vazia do WSUS, poderá haver uma incompatibilidade na versão de conteúdo do WSUS. Pode ser resultado de falha na sincronização. Para localizar a versão do conteúdo do ponto de atualização de software, no console do Configuration Manager, selecione Monitorando>o status de sincronização do ponto de atualização de software.
5. Revise Update_SyncStatus os dados em CI_UpdateSourcese WSUSServerLocations as tabelas, verifique se a ID exclusiva da fonte de atualização e a versão do conteúdo correspondem a essas tabelas.

Resultados de conformidade desconhecidos

1. Revise o arquivo PolicyAgent.log no cliente para verificar se o cliente está recebendo políticas.
2. Verifique se a sincronização de atualização de software foi bem-sucedida no ponto de atualização de software. Se a sincronização falhar, solucione problemas de sincronização.
3. Se o arquivo WUAHandler.log não existir e não for criado após o início de um ciclo de verificação, o problema provavelmente ocorrerá devido a um dos seguintes motivos:
   • A política de verificação de atualização de software não está disponível
   • Os clientes não conseguem encontrar o local do servidor WSUS
4. Verifique se não há erros de comunicação no arquivo CcmMessaging.log no cliente.
5. Se a verificação for bem-sucedida, o cliente deverá enviar mensagens de estado ao ponto de gerenciamento para indicar o status da atualização. Para entender como funciona o processamento de mensagens de estado, consulte fluxo de processamento de mensagens de estado.

Outros problemas

Para obter mais informações, consulte Solucionar problemas de verificação de atualização de software cliente.